Криптография *

Все началось с того что к нам в офис приехал директор иногороднего филиала.

Он подошел ко мне и сказал примерно следующее:

“Я переписываюсь с генеральным директором с помощью mail.ru.

В переписке мы обсуждаем весьма щекотливые вопросы, связанные, например, с …, ну тебе лучше не знать…. Я бы не хотел чтобы эта переписка была доступна третьим лицам.”

Я озаботился вопросом и достаточно быстро выяснил, что стандартом является шифрование с помощью шифра AES и аутентификация с помощью шифра RSA. Все мессенджеры предусматривают регистрацию, имеют свои сервера и хранят историю переписки.

Кроме того, я выяснил, что все существующие средства шифрования, которые доступны официально, должны иметь лицензию ФСБ (Постановление 313 https://base.garant.ru/70164728/). Одно из условий выдачи такой лицензии – предоставление ключей для доступа к переписке. (Вспоминаем историю с запретом Telegram в РФ).

То есть, использование любого, существующего легально, мессенджера не дает уверенности в тайне переписки.

Проанализировав ситуацию, я вывел рецепт идеального (защищенного) мессенджера.

Он должен состоять из следующих элементов:

1. Алгоритм шифрования с абсоютной криптостойкостью.

2. Надежный способ передачи ключей.

3. Надежный способ аутентификации (не RSA).

И не иметь своих серверов, не требовать регистрации, не хранить историю переписки.

Далее началась реализация.

Элемент  1. Шифр с абсолютной криптостойкостью.

Бытует мнение что взломать можно любой шифр. Хотя бы теоретически - брутфорсом.

И я почему-то уверен, что мало кто из читателей этого текста знает что такое алгоритм Вернама. (По крайней мере, я не знал).

Итак вам надо клонировать репозиторий с компанейского репозитория и git просит какие-то непонятные пароли.
Знакома ситуация?

В этой заметке я написал как настроить ssh ключи.

Сегодня я решил изучить новую библиотеку Cloudflare OAuth provider, которую, судя по заявлениям, почти полностью написали при помощи LLM Claude компании Anthropic:

Эта библиотека (в том числе и документация по схеме) была по большей мере написана при помощи Claude — ИИ-модели компании Anthropic. Результаты работы Claude были тщательно проверены инженерами Cloudflare, уделившим особое внимание безопасности и соответствию стандартам. В исходный результат было внесено множество улучшений, в основном тоже при помощи промптов Claude (и с проверкой результатов). Промпты модели Claude и созданный ею код можно посмотреть в истории коммитов.

[…]

Подчеркнём, что это не «вайб-кодинг». Каждая строка была тщательно проверена и согласована с соответствующими RFC специалистами в сфере безопасности, уже работавшими в этими RFC. Я пытался подтвердить свой скепсис, но оказалось, что я ошибался.

Я и сам в последнее время достаточно много писал подобным образом код при помощи «агентских» LLM. И я тоже специалист по OAuth: я написал API Security in Action, многие годы был членом OAuth Working Group в IETF и ранее работал техлидом, а затем архитектором безопасности в ведущем поставщике решений OAuth. (Также у меня есть степень PhD в сфере ИИ, полученная в группе изучения интеллектуальных агентов, но ещё до возникновения современного ажиотажа вокруг машинного обучения). Поэтому мне было очень любопытно, что же создала эта модель. И сегодня, сидя на паре совещаний, я решил изучить результаты. Дисклеймер: я лишь вкратце просмотрел код и нашёл несколько багов, а не выполнял полный анализ.

В мире криптографии и безопасных вычислений постоянно ищутся новые, надёжные математические структуры. Традиционные подходы часто опираются на классические алгебраические группы, но что, если нестандартные операции могут предложить уникальные свойства для построения защищённых систем? В этой статье я хочу предложить вашему вниманию полилинейные функции с линейными сдвигами и рассмотреть их потенциал для обмена ключами и создания криптографических примитивов, таких как хеш-функции и генераторы псевдослучайных чисел.

Продолжение истории о том, как я пытался реализовать подпись файлов с помощью сертификата на USB-устройстве, но уже с использованием USB-токена Рутокен 3.0, а дополнительно сделал шифрование и расшифрование директории.

Китайская государственная компания заявила о первом успешном звонке с поддержкой квантового шифрования на расстоянии в 1000 км. China Telecom Quantum Group испытала новую технологию для межрегиональной связи Пекина и Хэфэйя. Система использует «сквозное квантовое шифрование» для безопасной коммерческой связи.

Как я попробовал копитрейдинг на Solana: слил $800 на CEX, но потом отбился и сделал +$2000 на DEX.

👉 Всё началось ещё до разработки арбитражного бота — вручную анализировал кошельки, следил за трейдерами и тестировал гипотезы. Наткнулся на копитрейдинг.

Пробовал на CEX — слил почти весь депозит😅 Перешёл на DEX, настроил бота, начал копировать ончейн-сделки — и получил совсем другой результат.

👉 В статье: фейлы, кейсы, настройки, как искал кошельки, и почему некоторые зеркала могут торговать друг против друга.

Реальный опыт, цифры, немного автоматизации и никакой теории.

(И да, там еще несколько скринов — не пугайтесь длины)

Каждую анонимную сеть можно классифицировать различным образом - можно смотреть на сетевую архитектуру: децентрализованная она или гибридная, можно смотреть на открытость или закрытость исходного кода, можно смотреть на то, каким образом пакеты маршрутизируются в системе, можно сравнивать модели угроз и т.д. Но одним из наиболее интересных и систематических методов классификации является деление и агрегирование сетей по задачам анонимизации.

Приветствую, Хабр! В моей предыдущей статье были описаны принятые в прошлом году стандарты США FIPS (Federal Information Processing Standard — Федеральный стандарт обработки информации — аналог стандартов ГОСТ Р в России) на постквантовые алгоритмы электронной подписи (FIPS 204 и FIPS 205) и инкапсуляции ключей (FIPS 203). Данные криптостандарты были приняты в результате тщательного анализа и отбора алгоритмов в рамках открытого конкурса, проводимого Институтом стандартов и технологий США NIST; данный конкурс также был описан в предыдущей статье.

Стандарты FIPS 203 [1] и FIPS 204 [2] описывают алгоритмы, основанные на применении структурированных алгебраических решеток, тогда как алгоритм, стандартизованный в FIPS 205 [3], базируется на стойкости нижележащих хеш‑функций; данный алгоритм называется Stateless Hash‑Based Digital Signature Algorithm (SLH‑DSA) — алгоритм электронной подписи на основе хеширования без сохранения состояния. Стоит сказать, что данные алгоритмы стали не первыми постквантовыми криптоалгоритмами, стандартизованными в США, — еще в 2020 году в США был издана «специальная публикация» (SP — Special Publication — аналог рекомендаций по стандартизации в России) NIST SP 800–208 [4], описывающая несколько алгоритмов электронной подписи с сохранением состояния, также основанных на хеш‑функциях.

Далее в статье — описание и схемы алгоритмов, описанных в NIST SP 800–208, а также небольшой анализ особенностей алгоритмов данного класса.

История о том, как я пытался реализовать подпись файлов с помощью сертификата на USB-устройстве, а дополнительно сделал шифрование и расшифрование директории.

Принципы реализации математических концепций прикладной криптографии полезно рассматривать в числах. Эллиптические кривые представляют собой один из важнейших элементов криптографии (и современной теоретической математики тоже). На всякой эллиптической кривой можно складывать точки. Эта операция составляет основу многих криптосистем. Например, ECDH. В этой статье мы возьмём конкретное, - но обозримое, - уравнение кривой, посмотрим на формулы и проведём прямые вычисления, чтобы убедиться, что всё работает так, как предполагалось. В статье много чисел и есть пример на Rust.

Каждое наше сообщение в интернете — от сообщения в мессенджере до оплаты покупок — защищено невидимой «силой» под названием криптография. В этой статье я постараюсь простыми словами разобрать, что это такое, зачем нужны ключи и шифры и как работают цифровые подписи и хэш‑функции. Вы увидите, где в повседневной жизни встречаются эти технологии (в HTTPS‑сайтах, мессенджерах, блокчейне и VPN). Также поговорим о типичных угрозах (прослушка, подделка данных) и о том, как криптография их отражает. И, наконец, заглянем немного в будущее: узнаем, какие вызовы стоят перед защитой информации и как с ними справляются квантовые методы и новые стандарты

Начнём с определения, что вообще такое криптография:

Квантовые компьютеры — спящая угроза, которая может сломать современную защиту данных. Представьте: злоумышленники уже копят зашифрованную информацию, чтобы взломать её, как только появятся достаточно мощные квантовые машины. В этой статье будет рассказано будущее криптографии: какие алгоритмы станут ненадёжными, как работают квантовые атаки и какие технологии (вроде решёточного шифрования и хеш‑подписей) придут на смену. Вы узнаете, что делают Google, IBM и Microsoft в гонке за квантовое превосходство и как подготовиться к грядущим изменениям уже сегодня.

Часто при разработке на языке Swift мы сталкиваемся с отсутствием необходимых инструментов, которые давно стали привычными в других языках. В частности, чувствуется нехватка криптографических инструментов с хорошей историей и репутацией. В таком случае нам приходит на помощь возможность подключать и использовать в Swift библиотеки, написанные на языках Си и С++.

Я расскажу вам историю, в которой мы использовали нейронку, чтобы написать техническую документацию и архитектурный вижн для большого сложного проекта, теоретически сэкономив сумму из 8 цифр.

Кто в здравом уме будет это делать? У вас должны быть веские причины, чтобы извернувшись изобрести решение, в котором документация напишет себя сама.

Важно: всё, что написано ниже — это моё личное мнение. Это не доказанный факт и не техническое расследование. Я просто делюсь своими мыслями о мессенджере, которому многие доверяют. Возможно, я в чём-то ошибаюсь, и это нормально. Это мнение — не истина в последней инстанции.

Протокол у Signal считается надёжным. Многие криптографы его поддерживают. Формально — всё хорошо: используется сквозное шифрование, ключи меняются, реализация открыта. Но лично у меня есть сомнения. Не к криптографии, а к тому, как всё устроено в реальности.